Considerações de planejamento de integração do datacenter Azure Stack Hub sistemas integrados

Se você estiver interessado em um Azure Stack Hub integrado, entenda as principais considerações de planejamento sobre a implantação e como o sistema se encaixa em seu datacenter. Este artigo fornece uma visão geral de alto nível dessas considerações para ajudá-lo a tomar decisões de infraestrutura importantes para seus sistemas Azure Stack Hub integrados. Uma compreensão dessas considerações ajuda ao trabalhar com seu fornecedor de hardware OEM enquanto eles implantam Azure Stack Hub em seu datacenter.

Observação

Azure Stack Hub sistemas integrados só podem ser comprados de fornecedores de hardware autorizados.

Para implantar Azure Stack Hub, você precisa fornecer informações de planejamento para seu provedor de soluções antes que a implantação comece a ajudar o processo a ser rápido e sem problemas. As informações necessárias variam entre redes, segurança e informações de identidade com muitas decisões importantes que podem exigir conhecimento de muitas áreas e tomadores de decisão diferentes. Você precisará de pessoas de várias equipes em sua organização para garantir que todas as informações necessárias estão prontas antes da implantação. Pode ajudar a conversar com seu fornecedor de hardware ao coletar essas informações, pois eles podem ter conselhos úteis.

Ao pesquisar e coletar as informações necessárias, talvez seja necessário fazer algumas alterações de configuração de pré-implantação em seu ambiente de rede. Essas alterações podem incluir a reserva de espaços de endereço IP para Azure Stack Hub solução, bem como a configuração de roteadores, comutadores e firewalls para se preparar para a conectividade com as novas opções Azure Stack Hub solução. Certifique-se de ter o especialista da área de assunto alinhado para ajudá-lo com seu planejamento.

Considerações de planejamento de capacidade

Ao avaliar uma solução Azure Stack Hub para aquisição, você faz escolhas de configuração de hardware que têm um impacto direto sobre a capacidade geral da Azure Stack Hub solução. Isso inclui as opções clássicas de CPU, densidade de memória, configuração de armazenamento e escala geral da solução (por exemplo, número de servidores). Ao contrário de uma solução de virtualização tradicional, a aritmética simples desses componentes para determinar a capacidade usável não se aplica. O primeiro motivo é que Azure Stack Hub é projetado para hospedar os componentes de infraestrutura ou gerenciamento dentro da própria solução. O segundo motivo é que parte da capacidade da solução é reservada para dar suporte à resiliência atualizando o software da solução de forma a minimizar a interrupção das cargas de trabalho de locatário.

A Azure Stack Hub planejador de capacidade ajuda você a tomar decisões informadas para planejar a capacidade de duas maneiras. A primeira é selecionando uma oferta de hardware e tentando ajustar uma combinação de recursos. A segunda é definindo a carga de trabalho que Azure Stack Hub se destina a executar para exibir os SKUs de hardware disponíveis que podem dar suporte a ela. Por fim, a planilha destina-se a ser um guia para ajudar a tomar decisões relacionadas Azure Stack Hub planejamento e configuração.

A planilha não se destina a servir como um substituto para sua própria investigação e análise. A Microsoft não faz nenhuma representação ou garantia, expressa ou implícita, em relação às informações fornecidas na planilha.

Considerações de gerenciamento

Azure Stack Hub é um sistema lacrado, em que a infraestrutura é bloqueada tanto de uma perspectiva de permissões quanto de rede. As ACLs (listas de controle de acesso de rede) são aplicadas para bloquear todo o tráfego de entrada não autorizado e todas as comunicações desnecessárias entre componentes de infraestrutura. Esse sistema dificulta o acesso do sistema a usuários não autorizados.

Para operações e gerenciamento diários, não há acesso irrestrito de administrador à infraestrutura. Azure Stack Hub operadores devem gerenciar o sistema por meio do portal do administrador ou por meio Azure Resource Manager (por meio do PowerShell ou da API REST). Não há acesso ao sistema por outras ferramentas de gerenciamento, como o Gerenciador do Hyper-V ou Gerenciador de Cluster de Failover. Para ajudar a proteger o sistema, o software de terceiros (por exemplo, agentes) não pode ser instalado dentro dos componentes da Azure Stack Hub infraestrutura. A interoperabilidade com software de segurança e gerenciamento externos ocorre por meio do PowerShell ou da API REST.

Entre Suporte da Microsoft quando precisar de um nível mais alto de acesso para solucionar problemas que não são resolvidos por meio de etapas de mediação de alerta. Por meio do suporte, há um método para fornecer acesso temporário completo de administrador ao sistema para operações mais avançadas.

Considerações sobre identidade

Escolher provedor de identidade

Você precisará considerar qual provedor de identidade deseja usar para Azure Stack Hub implantação, seja o Azure AD ou AD FS. Não é possível alternar provedores de identidade após a implantação sem a reimplantação completa do sistema. Se você não tiver a conta do Azure AD e estiver usando uma conta fornecida por seu Provedor de Soluções na Nuvem e se decidir mudar de provedor e usar uma conta diferente do Azure AD, entre em contato com o provedor de soluções para reimplantar a solução a seu custo.

Sua escolha de provedor de identidade não tem nenhuma influência sobre VMs (máquinas virtuais de locatário), o sistema de identidade, as contas que eles usam ou se podem ingressar em um domínio do Active Directory e assim por diante. Essas coisas são separadas.

Você pode implantar vários sistemas Azure Stack Hub com o mesmo locatário Azure Active Directory ou Active Directory.

AD FS e Graph integração

Se você optar por implantar Azure Stack Hub usando AD FS como o provedor de identidade, deverá integrar a instância do AD FS no Azure Stack Hub a uma instância AD FS existente por meio de uma relação de confiança de federação. Essa integração permite que as identidades em uma floresta existente do Active Directory se autententem com recursos Azure Stack Hub.

Você também pode integrar o Graph em Azure Stack Hub com o Active Directory existente. Essa integração permite que você gerencie Role-Based RBAC (Controle de Acesso) em Azure Stack Hub. Quando o acesso a um recurso é delegado, o componente Graph pesquisa a conta de usuário na floresta existente do Active Directory usando o protocolo LDAP.

O diagrama a seguir mostra o fluxo AD FS e Graph tráfego integrado.

Diagram showing AD FS and Graph traffic flow

Modelo de licenciamento

Você deve decidir qual modelo de licenciamento deseja usar. As opções disponíveis dependem de se você implantar Azure Stack Hub conectado à Internet:

  • Para uma implantação conectada,você pode escolher o licenciamento pago conforme o uso ou baseado em capacidade. O pagamento conforme o uso requer uma conexão com o Azure para relatar o uso, que é cobrado por meio do comércio do Azure.
  • Somente o licenciamento baseado em capacidade será suportado se você implantar desconectado da Internet.

Para obter mais informações sobre os modelos de licenciamento, consulte Microsoft Azure empacotamento e preços do Stack Hub.

Decisões de nomen por nomen

Você precisará pensar em como deseja planejar seu namespace de Azure Stack Hub, especialmente o nome da região e o nome de domínio externo. O FQDN (nome de domínio totalmente qualificado) externo de sua implantação Azure Stack Hub para pontos de extremidade voltados para o público é a combinação desses dois nomes: <<> . <>> . Por exemplo, east.cloud.fabrikam.com. Neste exemplo, os Azure Stack Hub portais estarão disponíveis nas seguintes URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Importante

O nome da região que você escolher para Azure Stack Hub implantação deve ser exclusivo e aparecerá nos endereços do portal.

A tabela a seguir resume essas decisões de nomeação de domínio.

Nome Descrição
Nome da região O nome da sua primeira Azure Stack Hub região. Esse nome é usado como parte do FQDN para os VIPs (endereços IP virtuais) públicos que Azure Stack Hub gerencia. Normalmente, o nome da região seria um identificador de local físico, como um local de datacenter.

O nome da região deve consistir apenas em letras e números entre 0 e 9. Nenhum caractere especial (como - , e assim por # diante) é permitido.
Nome de domínio externo O nome da zona DNS (Sistema de Nomes de Domínio) para pontos de extremidade com VIPs externos. Usado no FQDN para esses VIPs públicos.
Nome de domínio privado (interno) O nome do domínio (e zona DNS interna) criado no Azure Stack Hub gerenciamento de infraestrutura.

Requisitos de certificado

Para implantação, você precisará fornecer certificados protocolo SSL (SSL) para pontos de extremidade voltados para o público. Em um alto nível, os certificados têm os seguintes requisitos:

  • Você pode usar um único certificado curinga ou pode usar um conjunto de certificados dedicados e, em seguida, usar curingas somente para pontos de extremidade como armazenamento e Key Vault.
  • Os certificados podem ser emitidos por uma AC (autoridade de certificação) confiável pública ou uma AC gerenciada pelo cliente.

Para obter mais informações sobre quais certificados PKI são necessários para implantar Azure Stack Hub e como obter esses certificados, consulte, Azure Stack Hub requisitos de certificado da Infraestrutura de Chave Pública.

Importante

As informações de certificado PKI fornecidas devem ser usadas como diretrizes gerais. Antes de adquirir certificados PKI para Azure Stack Hub, trabalhe com seu parceiro de hardware OEM. Eles fornecerão diretrizes e requisitos de certificado mais detalhados.

Sincronização da hora

Você deve escolher um servidor de horário específico que é usado para sincronizar Azure Stack Hub. A sincronização de tempo é essencial Azure Stack Hub e suas funções de infraestrutura porque ela é usada para gerar tíquetes Kerberos. Os tíquetes Kerberos são usados para autenticar serviços internos entre si.

Você deve especificar um IP para o servidor de sincronização de horário. Embora a maioria dos componentes na infraestrutura possa resolver uma URL, alguns só suportam endereços IP. Se você estiver usando a opção de implantação desconectada, deverá especificar um servidor de horário em sua rede corporativa que você tem certeza de que pode alcançar da rede de infraestrutura Azure Stack Hub.

Importante

Se o servidor de horário não for Windows servidor NTP baseado em Windows, você precisará anexar o ,0x8 final do endereço IP. Por exemplo, 10.1.1.123,0x8.

Conexão Azure Stack Hub para o Azure

Para cenários de nuvem híbrida, você precisará planejar como deseja conectar Azure Stack Hub ao Azure. Há dois métodos com suporte para conectar redes virtuais no Hub Azure Stack para redes virtuais no Azure:

  • Site a site: uma conexão de VPN (rede virtual privada) sobre IPSec (Ike v1 e Ike v2). Esse tipo de conexão requer um dispositivo VPN ou serviço de roteamento e acesso remoto (RRAS). Para obter mais informações sobre gateways de VPN no Azure, consulte sobre o gateway de VPN. A comunicação por esse túnel é criptografada e segura. No entanto, a largura de banda é limitada pela taxa de transferência máxima do túnel (100-200 Mbps).

  • NAT de saída: por padrão, todas as VMs no Hub Azure Stack terão conectividade com redes externas via NAT de saída. Cada rede virtual criada no Hub Azure Stack Obtém um endereço IP público atribuído a ele. Se a VM recebe diretamente um endereço IP público ou está atrás de um balanceador de carga com um endereço IP público, ele terá acesso de saída por meio de NAT de saída usando o VIP da rede virtual. Esse método funciona apenas para comunicação que é iniciada pela VM e destinada a redes externas (Internet ou intranet). Ele não pode ser usado para se comunicar com a VM de fora.

Opções de conectividade híbrida

Para conectividade híbrida, é importante considerar que tipo de implantação você deseja oferecer e onde ela será implantada. Você precisará considerar se precisa isolar o tráfego de rede por locatário e se terá uma implantação de intranet ou Internet.

  • Hub de Azure Stack de locatário único: uma implantação de hub de Azure Stack que parece, pelo menos, de uma perspectiva de rede, como se fosse um locatário. Pode haver muitas assinaturas de locatário, mas como qualquer serviço de intranet, todo o tráfego passa pelas mesmas redes. O tráfego de rede de uma assinatura passa pela mesma conexão de rede que outra assinatura e não precisa ser isolado por meio de um túnel criptografado.

  • Hub de Azure Stack multilocatário: uma implantação de hub de Azure Stack em que o tráfego de cada assinatura de locatário associado a redes externas ao Hub de Azure Stack deve ser isolado do tráfego de rede de outros locatários.

  • Implantação de intranet: uma implantação de Hub de Azure Stack que reside em uma intranet corporativa, normalmente no espaço de endereço IP privado e atrás de um ou mais firewalls. Os endereços IP públicos não são verdadeiramente públicos porque não podem ser roteados diretamente pela Internet pública.

  • Implantação da Internet: uma implantação de Hub Azure Stack que está conectada à Internet pública e usa endereços IP públicos roteáveis pela Internet para o intervalo VIP público. A implantação ainda pode ficar atrás de um firewall, mas o intervalo de VIP público é diretamente acessível da Internet pública e do Azure.

A tabela a seguir resume os cenários de conectividade híbrida com os prós, contras e casos de uso.

Cenário Método de conectividade Vantagens Desvantagens Bom para
Hub de Azure Stack de locatário único, implantação de intranet NAT de saída Melhor largura de banda para transferências mais rápidas. Simples de implementar; nenhum gateway é necessário. Tráfego não criptografado; sem isolamento ou criptografia fora da pilha. Enterprise implantações em que todos os locatários são igualmente confiáveis.

Empresas que têm um circuito do Azure ExpressRoute para o Azure.
Hub de Azure Stack de vários locatários, implantação de intranet VPN site a site O tráfego da VNet do locatário para o destino é seguro. A largura de banda é limitada pelo túnel VPN site a site.

Requer um gateway na rede virtual e um dispositivo VPN na rede de destino.
Enterprise implantações em que algum tráfego de locatário deve ser protegido de outros locatários.
Hub de Azure Stack de locatário único, implantação da Internet NAT de saída Melhor largura de banda para transferências mais rápidas. Tráfego não criptografado; sem isolamento ou criptografia fora da pilha. Cenários de hospedagem em que o locatário obtém sua própria implantação de Hub de Azure Stack e um circuito dedicado para o ambiente de Hub de Azure Stack. Por exemplo, ExpressRoute e comutador de rótulo multiprotocolo (MPLS).
Hub de Azure Stack multilocatário, implantação da Internet VPN site a site O tráfego da VNet do locatário para o destino é seguro. A largura de banda é limitada pelo túnel VPN site a site.

Requer um gateway na rede virtual e um dispositivo VPN na rede de destino.
Cenários de hospedagem em que o provedor deseja oferecer uma nuvem multilocatário, em que os locatários não confiam uns aos outros e o tráfego deve ser criptografado.

Usando o ExpressRoute

Você pode se conectar Azure Stack Hub ao Azure por meio do ExpressRoute para cenários de intranet de locatário único e multilocatário. Você precisará de um circuito do ExpressRoute provisionado por meio de um provedor de conectividade.

O diagrama a seguir mostra o ExpressRoute para um cenário de locatário único (em que "conexão do cliente" é o circuito do ExpressRoute).

Diagram showing single-tenant ExpressRoute scenario

O diagrama a seguir mostra o ExpressRoute para um cenário multilocatário.

Diagram showing multi-tenant ExpressRoute scenario

Monitoramento externo

Para obter uma exibição única de todos os alertas de sua implantação de Azure Stack Hub e dispositivos e para integrar alertas a fluxos de trabalho de gerenciamento de serviço de ti existentes para emissão de tíquetes, você pode integrar Azure Stack Hub com soluções de monitoramento de datacenter externas.

Incluído com a solução de Hub de Azure Stack, o host de ciclo de vida de hardware é um computador fora do Hub Azure Stack que executa as ferramentas de gerenciamento fornecidas pelo fornecedor de OEM para hardware. Você pode usar essas ferramentas ou outras soluções que se integram diretamente às soluções de monitoramento existentes em seu datacenter.

A tabela a seguir resume a lista de opções disponíveis no momento.

Área Solução de monitoramento externo
Software de Hub de Azure Stack Pacote de gerenciamento de Hub Azure Stack para Operations Manager
Plug-in Nagios
Chamadas de API baseadas em REST
Servidores físicos (BMCs via IPMI) Hardware OEM-pacote de gerenciamento de Operations Manager fornecedores
Solução fornecida pelo fornecedor de hardware OEM
Plug-ins Nagios do fornecedor de hardware.
Solução de monitoramento com suporte de parceiro OEM (incluída)
Dispositivos de rede (SNMP) Descoberta de dispositivo de rede Operations Manager
Solução fornecida pelo fornecedor de hardware OEM
Plug-in de comutador Nagios
Monitoramento de integridade da assinatura do locatário pacote de gerenciamento do System Center para Windows Azure

Observe os seguintes requisitos:

  • A solução que você usa deve ser sem agente. Não é possível instalar agentes de terceiros dentro de componentes do Hub Azure Stack.
  • se você quiser usar System Center Operations Manager, Operations Manager 2012 R2 ou Operations Manager 2016 for necessário.

Backup e recuperação de desastres

O planejamento de backup e recuperação de desastres envolve o planejamento para a infraestrutura de Hub de Azure Stack subjacente que hospeda VMs IaaS e serviços PaaS e para aplicativos e dados de locatário. Planeje essas coisas separadamente.

Proteger componentes de infraestrutura

Você pode fazer backup de Azure Stack componentes de infraestrutura de Hub em um compartilhamento SMB que você especificar:

  • você precisará de um compartilhamento de arquivos SMB externo em um servidor de arquivos existente baseado em Windows ou em um dispositivo de terceiros.
  • Use esse mesmo compartilhamento para o backup de comutadores de rede e o host de ciclo de vida de hardware. Seu fornecedor de hardware OEM ajudará a fornecer diretrizes para backup e restauração desses componentes, pois eles são externos ao Hub de Azure Stack. Você é responsável por executar os fluxos de trabalho de backup com base na recomendação do fornecedor do OEM.

Se ocorrer perda de dados catastrófica, você poderá usar o backup de infraestrutura para refazer a propagação de dados de implantação, como:

  • Entradas e identificadores de implantação
  • Contas de serviço
  • Certificado raiz da AC
  • Recursos federados (em implantações desconectadas)
  • Planos, ofertas, assinaturas e cotas
  • Atribuições de função e política de RBAC
  • Segredo do Cofre de Chaves

Proteger aplicativos de locatário em VMs IaaS

Azure Stack Hub faz o back-up de dados e aplicativos de locatário. Você deve planejar a proteção de backup e recuperação de desastre para um destino externo Azure Stack Hub. A proteção de locatário é uma atividade controlada por locatário. Para VMs IaaS, os locatários podem usar tecnologias em convidado para proteger pastas de arquivos, dados do aplicativo e estado do sistema. No entanto, como uma empresa ou provedor de serviços, talvez você queira oferecer uma solução de backup e recuperação no mesmo datacenter ou externamente em uma nuvem.

Para fazer backup do Linux ou Windows VMs IaaS, você deve usar produtos de backup com acesso ao sistema operacional convidado para proteger arquivos, pastas, estado do sistema operacional e dados do aplicativo. Você pode usar Backup do Azure, System Center Datacenter Protection Manager ou produtos de terceiros com suporte.

Para replicar dados para um local secundário e orquestrar o failover de aplicativo em caso de desastre, você pode usar Azure Site Recovery ou produtos de terceiros com suporte. Além disso, aplicativos que suportam replicação nativa, como Microsoft SQL Server, podem replicar dados para outro local em que o aplicativo está em execução.

Saiba mais

  • Para obter informações sobre casos de uso, compras, parceiros e fornecedores de hardware OEM, consulte a página Azure Stack Hub produto.
  • Para obter informações sobre o roteiro e a disponibilidade geográfica para Azure Stack Hub integrados, consulte white paper: Azure Stack Hub: uma extensão do Azure.

Próximas etapas

Azure Stack Hub de conexão de implantação